Sécurité chez Wooclap | Vos données toujours protégées

Introduction

La démarche sécurité de Wooclap est une démarche initiée de long terme main dans la main avec les universités et entreprises partenaires de Wooclap.

Chez Wooclap nous souhaitons et exigeons le meilleur niveau de sécurité pour vos données.

Aujourd’hui cette démarche est toujours en évolution avec une équipe sécurité dédiée qui veille à augmenter continuellement notre niveau sécurité. Vous retrouverez les détails de nos éléments de sécurité dans notre Politique de Sécurité mais également sur cette page qui a pour but de partager nos informations sur les grands domaines de la sécurité.

Les éléments que vous retrouverez ici sont valables pour Wooclap mais également pour Wooflash. En effet, les produits sont construits sur la même base technique et conçus par la même équipe. Les garanties sécurité de Wooclap sont donc déclinées et valables pour Wooflash.

Hébergement des données

Toutes les données collectées dans le cadre de l’utilisation de Wooclap ou dans les formulaires sont traitées sur nos serveurs hébergés sur Amazon Web Services (AWS). Les serveurs sont localisés dans un pays de l’Union européenne (région "eu-west-3" à Paris en France), et donc soumis au respect du RGPD (plus d’information sur la page Confidentialité des données et RGPD chez Wooclap).

Pourquoi AWS? Nous avons choisi de travailler avec Amazon car ils sont leaders en termes de qualité de services, pour leurs attention à la sécurité de leurs produits et sur la conformité au RGPD de leur services. Ces critères sont d’ailleurs nécessaires pour tous les partenaires avec lesquels nous travaillons.

Notre infrastructure AWS est également basée et conformes à tous les principes AWS Well-Architected Framework qui confirme un haut niveau de protection et de sécurité des données.

Chiffrement des données

Toutes les données sont chiffrées au repos comme en transit (at rest and in transit encryption). La confidentialité et la protection des données sont des sujets importants pour Wooclap, afin d’atteindre ces objectifs, les données sont chiffrées partout.

Chiffrement au repos : Wooclap utilise Amazon Key Management Service (KMS) avec une clé AES 256-bit pour crypter les données stockées par Wooclap. Ce schéma de cryptage des données a été validé comme FIPS 197 par le NIST. Concernant le stockage des clés, AWS utilise des équipements spécifiques appelés boitiers Hardware Security Module (HSM), ce dispositif garantit qu'aucun accès technique n'est possible aux clés pour AWS, Wooclap ou toute autre personne.

Chiffrement en transit : seul le protocole TLS 1.2 ou supérieur est utilisé chez Wooclap. Cet algorithme cryptographique asymétrique permet à Wooclap de chiffrer et de prévenir les attaques sur les communications entre la plateforme Wooclap et les navigateurs des utilisateurs.

Une vidéo AWS explique les mécanismes de chiffrements et services AWS qui protègent les données Wooclap.

Identités et accès

Chez Wooclap nous privilégions les méthodes d’authentification renforcées comme le Single Sign-On (SSO) même si une authentification basique reste possible.

Un seul type de compte utilisateur existe chez Wooclap qu’il soit participant, professeur, présentateur, etc. mais différents types de droits sont possible :

droits normaux, crée du contenu, des évènements, etc.
droits administrateurs type “ingénieur pédagogique” avec à la vue de son ou ses organisation(s)
droits administrateurs type “modérateur” avec accès organisation mais qui peut également ajouter et retirer des utilisateurs dans l’organisation
droits administrateurs Wooclap accès type “ingénieur pédagogique” + “modérateur” + configuration possible du SSO + accès détails sur les organisations.

Les utilisateurs Wooclap peuvent accéder à leur compte selon différents moyens d’authentification :

Avec une authentification par email et mot de passe
Avec une authentification via les réseaux sociaux.
Ou encore avec une authentification renforcée Single Sign On (SSO) ou un raccordement sera nécessaire avec Wooclap :
Avec votre mail professionnel (qui redirigera vers la page SSO de votre entreprise ou établissement)
Avec une connexion depuis le portail de votre université.

Wooclap supporte de nombreux protocoles d’authentification et notamment ceux relatifs au monde de l’éducation :

Le Réseau National de Télécommunications pour la technologie, l'Enseignement et la Recherche (RENATER)
Le service International EduGAIN (avec le GÉANT Data Protection Code of Conduct)
RedIRIS, Canarie, etc.

Mais également des protocoles plus communs ou spécifiques à certaines régions : Azure AD, SAML, CAS (Apereo), Shibboleth.

N’hésitez pas à nous contacter directement pour savoir si votre protocole d’authentification est disponible.

Wooclap est également compatible avec la majorité des Learning Management System (LMS) :

Moodle, Canvas, Blackboard, Brightspace D2L, Claroline, Dokeos, itslearning, Sakai, etc.

Les authentication via LMS peuvent se faire via les Learning Tools Interoperability (LTI) :

LTI 1.1 pour un chiffrement symétrique (obsolète depuis fin 2021)
LTI 1.3 pour un chiffrement asymétrique avec openID Connect - OAuth 2.0

Une authentification via le Plugin Moodle est également possible.

Concernant les accès aux données Wooclap pour les employés Wooclap, les accès sont construits de manière très restreinte et uniquement les membres de l’équipe Tech peuvent accéder aux données des utilisateurs dans un but précis (investigation et résolution d’un bug par exemple).

Pour les accès employés Wooclap avec droits administrateur, ces comptes sont protégés par un mécanisme d’authentification unique et centralisée (SSO) mais également protégés par un mécanisme d’authentification multiple (MFA).

L’hébergeur de notre infrastructure AWS ne peut pas accéder “by design” aux données qui sont stockées sur leurs serveurs. Leur système est conçu pour que les accès aux données Wooclap par le personnel AWS ne soient pas possibles pour aucune raison y compris pour la maintenance ou l’assistance. Les accès aux données ne peuvent être donnés uniquement sur décision et action par un technicien Wooclap avec les droits nécessaires.

Il n’y a pas d’exception à cette règle, et s’applique à tout le personnel AWS : ils ne peuvent pas avoir accès aux données Wooclap, uniquement si les accès sont demandés et autorisés par Wooclap. Cette mesure est vérifiée indépendamment chez AWS par leur certification SOC2.

Ces accès sont couvert par des mesures de sécurité supplémentaires comme les politiques Identity Access Management (IAM) qui garantissent uniquement l’accès au compte Wooclap autorisés.

Disponibilité des données

Wooclap bénéficie des bénéfices de l’infrastructure AWS afin de garantir du plus haut niveau de service pour ces utilisateurs. Un document d’accord de niveau de service est disponible et attaché à votre contrat Wooclap. Il décrit les SLA (Service Level Agreement) de notre plateforme avec les détails sur les taux de disponibilité, l’assistance et les situations plus critiques ou les incidents.

Wooclap possède une procédure de gestion des incidents et une checklist des actions à suivre qui est partagée par le management et board de la société. C’est un document interne qui décrit les rôles, les actions à mener et les priorités en cas d’incident. La phase post-remédiation est également décrite pour que des actions soient prises afin que l’incident ne se reproduise plus (si possible).

Une protection des attaques par déni de service distribué (DDoS) est atténuées par les mécanismes AWS. Ce système de surveillance permanente du réseau bloque le trafic malveillant à l'aide d'un filtrage déterministe des paquets et d'une mise en forme du trafic basée sur les priorités au niveau des couches 3 (IPv4 / IPv6) et 4 (TCP / UDP) du modèle OSI (Open Systems Interconnection).

Wooclap possède une assurance pour les incidents de sécurité.

Nous serons transparents et communiquerons si des conséquences affectent l’utilisation de la plateforme ou les données des utilisateurs. Notre devoir de communication est inscrit dans le contrat qui lie les deux parties, le délai de prévenance par défaut peut être modifié si des besoins spécifiques sont remontés.

Sauvegardes

Wooclap utilise deux méthodes afin de garantir aucune perte de données pour ces utilisateurs :

des sauvegardes exécutées quotidiennement et stockées chiffrées (AES-256) pendant 30 jours
des snapshots (des copies du système de fichiers du disque complet à un moment donné).

Les deux méthodes permettent à Wooclap de revenir à un état antérieur sain en cas d'altération ou de destruction accidentelle ou malveillante des données.

La sécurité dès la conception

Des pratiques de développement sécurisé (security by design) sont prises chez Wooclap et font partie du cycle de développement de notre plateforme. Davantage de détails sont disponibles dans notre Politique de Sécurité (liée à votre contrat).

Wooclap a mis en place des mesures de supervision et d'alertes basées sur les technologies AWS mais aussi au travers d’outils dédiés de l’équipe technique.

Des mesures de journalisation sont utilisées en continu par les équipes. Les journaux applicatifs sont conservés 6 mois suivant les recommandations de l'ANSSI et de la CNIL.

Audits

Wooclap réalise un audit de sécurité par an sur son infrastructure afin de détecter de nouvelles failles de sécurité et intègre toute remédiation nécessaire à la suite de cet audit.

Les audits peuvent être des tests d’intrusions techniques sur l’application et le site web Wooclap mais également sur un scope plus large du système d’information (audit organisationnel, conformité, etc.).

Les partenaires et clients Wooclap qui possèdent une licence organisationnelle Wooclap peuvent également faire une demande de réalisation d’un audit spécifique sur notre infrastructure (dans la limite d’un audit par an et financé par leur organisation).

Les extraits des rapports d'audit sont disponibles pour les clients.

Gouvernance et documents

Wooclap dispose d’une gouvernance sécurité composée du Responsable Sécurité du Système d’Information (RSSI) et du CTO de Wooclap. Cette équipe est connue et reconnue de l’ensemble de l’ensemble des collaborateurs Wooclap également au travers de communications fréquentes.

Wooclap a une feuille de route de sécurité annuelle pour prévoir les prochaines améliorations de sécurité et de confidentialité des données. Des objectifs plus précis sont également liés à cette feuille de route pour suivre la réalisation de celle-ci et son alignement continue avec les objectifs de la société.

L’équipe Sécurité Wooclap est également garante de la relation avec les partenaires Universitaires et autres clients Wooclap. Nous répondons aux formulaires de sécurité en amont des signatures de contrat et continuons la relation sécurité tout au long de la durée de vie du contrat.

Wooclap dispose d’une politique de Sécurité de l’information mais également d’autres documents concernant la sécurité et la confidentialité des données qui peuvent prendre place en annexes du contrat.

Sensibilisation

Des actions de sensibilisation sont réalisées tout au long de l’année chez Wooclap et rassemblées au travers d’un programme de sensibilisation annuel.

Une formation sécurité est obligatoire durant le processus d’Onboarding des nouveaux collaborateurs Wooclap.

FAQ

Foire aux questions

Vous avez encore des questions ? Vous trouverez la plupart des réponses ici !

L’infrastructure Wooclap est hébergée sur Amazon Web Services (AWS) sur le data-center eu-west-3 à Paris en France. Notre infrastructure est construite autour des bonnes pratiques AWS en matière d’architecture appelée AWS Well-Architected Framework. AWS permet à Wooclap de garantir une importante qualité de service et des taux importants de disponibilité. AWS apporte de nombreuses garanties de sécurité essentielles pour la protection des données comme le chiffrement de l’ensemble de nos données (à la fois au repos et en transit), répondent également à de nombreuses certifications (AWS Compliance Programs) et sont conforme aux normes de sécurité les plus exigeantes ainsi qu’aux lois sur la souveraineté des données et du Data Privacy Framework. AWS apporte également des réponses claires au CLOUD Act, à Schrems II, au RGPD, à l'interdiction des transferts de données hors de l'UE, etc.
Wooclap conservera vos données jusqu'à ce que l'une des situations suivantes se produise :
Vous les supprimez manuellement via les paramètres de votre compte.
Notre Politique de Rétention des Données s'applique à votre compte (par exemple, en cas d'inactivité).
Uniquement pour les comptes Organisation/Entreprise : Vous demandez à votre Gestionnaire de Compte de supprimer les données rattachées à votre contrat.
Pour les comptes en libre-service : La politique de conservation des données prend effet après 3 ans d'inactivité continue du compte, après quoi toutes les données sont supprimées. Les utilisateurs peuvent initier la suppression à tout moment via les paramètres de leur compte.
Organisations (plans custom) : Les organisations ont la possibilité d'une période de conservation des données personnalisable depuis les réglages de leur organisation. Les données personnelles des comptes inactifs seront supprimées après la période définie dans les réglages.
Notifications : Les données concernées par la suppression en raison de l'inactivité déclencheront l'envoi progressif de notifications par e-mail 30 et 3 jour(s) avant la date prévue.
Journaux et Sauvegardes : Les journaux d'application sont conservés 6 mois conformément aux recommandations de l'ANSSI et de la CNIL, et les sauvegardes sont conservées 30 jours.
Exception légale : Toutefois, nous pouvons être amenés à conserver vos données plus longtemps si nous avons une obligation légale ou un intérêt légitime à le faire (par exemple, obligation de conserver vos données dans le cadre d'une enquête pénale ou à des fins fiscales).
Quelles données sont supprimées ou anonymisées ?
Lors d'une demande de suppression de données (soit par vous, soit par activation de notre politique de rétention des données), nous anonymiserons ou supprimerons vos données et le contenu associé comme suit :
ANONYMISÉES :
Email, nom d'utilisateur (username), prénom (firstName) et nom de famille (lastName), tous sont remplacés par des données anonymes (impossibles à récupérer) afin de maintenir l'intégrité de la base de données et de prévenir les erreurs de rapport.
SUPPRIMÉES :
Les données de facturation sont supprimées.
La photo de profil est supprimée.
Tous les comptes d'authentification (l'utilisateur ne peut plus se connecter à la plateforme par aucun moyen).
Tous les fichiers, présentations et images importés dans votre compte.
Toutes les données dans les questionnaires, questions, feuilles de présence, Événements, modèles, etc.
Toutes les invitations par lesquelles vous invitez d'autres personnes à rejoindre la plateforme pour différents cas d'utilisation.
Les événements Wooclap partagés créés par les utilisateurs concernés par la politique de conservation des données ne seront plus accessibles aux collaborateurs de ces événements.
Wooclap a obtenu la certification ISO 27001:2022 en mai 2024 et l’a renouvelée en 2025 puis en 2026 ✨
Cette certification confirme le niveau de sécurité de notre organisation et formalise le processus d’amélioration continue qui était déjà en place chez Wooclap. Partenaires et clients peuvent faire une demande de certificat auprès de l’équipe sécurité Wooclap.
L’hébergement Cloud des données Wooclap fourni par AWS est certifié ISO 27001 - 27017 - 27019 - 27701 - 22301 - 9001, SOC 1, 2, 3, PCI-DSS level 1, CISPE code, HDS (France), C5 (Germany), FINMA ISAE 3000 Type 2 (Switzerland), etc. Plus d’informations sur la page Programmes de conformité AWS.
L'équipe Sécurité de Wooclap accorde une grande importance aux précieuses contributions de la communauté cybersécurité visant à renforcer la sécurité de sa plateforme. Bien que Wooclap ne dispose pas actuellement d'un programme de bug bounty offrant des récompenses financières, l'entreprise reste ouverte aux divulgations responsables de vulnérabilités à l'adresse security@wooclap.com et encourage les chercheurs en sécurité à lui communiquer directement toute vulnérabilité potentielle.
L'équipe Sécurité de Wooclap s'engage à examiner et à corriger les vulnérabilités signalées afin de maintenir un environnement sécurisé, et votre vigilance contribue de manière importante à ces efforts continus.
Par ailleurs, Wooclap suit les lignes directrices de divulgation des vulnérabilités établies par le Centre pour la Cybersécurité Belgique (CCB). Conformément à la loi belge, toute activité de ce type doit être signalée au CCB afin de garantir un traitement approprié et légal des vulnérabilités (lien ici).

RGPD
Wooclap garantit la sécurité à long terme des données personnelles des utilisateurs en assurant un niveau de protection conforme au RGPD.
ISO 27001
Depuis 2024, Wooclap est certifié ISO 27001:2022, formalisant le processus d'amélioration continue en place depuis longtemps chez Wooclap.

RGPD
Votre confidentialité est au cœur de nos opérations, tant pour les présentateurs que pour les participants. Nous avons collaboré avec Deloitte et Agoria pour assurer notre conformité au RGPD. Jour après jour, notre équipe Sécurité s'efforce d'améliorer la sécurité et la confidentialité des données personnelles à long terme pour Wooclap et Wooflash.
Politique en matière d'IA
Notre engagement envers l'IA repose sur la clarté, la responsabilité éthique et l'autonomisation des utilisateurs. En garantissant la transparence et en maintenant le contrôle entre des mains humaines, nous visons des applications d'IA équitables et dignes de confiance.

Vous avez besoin de plus d'informations ?

Nos équipes vous répondent.

La Sécurité chez Wooclap

Introduction

Hébergement des données

Chiffrement des données

Identités et accès

Disponibilité des données

Sauvegardes

La sécurité dès la conception

Audits

Gouvernance et documents

Sensibilisation

Foire aux questions

Ou sont stockées mes données?

Quelle est la durée de conservation de mes données par Wooclap ?

Comment fonctionne la Politique de Rétention des Données de Wooclap ?

Wooclap a t’il des certifications de Sécurité?

Existe-t-il chez Wooclap un programme de divulgation des vulnérabilités / bug bounty ?

Nos certifications

RGPD

ISO 27001

Confidentialité, sécurité et Politique IA chez Wooclap

RGPD

Politique en matière d'IA

Vous avez besoin de plus d'informations ?